icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Browser fingerprinting: gevolgd worden zonder cookies

Ook zonder cookies kunnen websites je volgen. Wel 1 op de 3 gebruikt alternatieve trackingtechnieken als ‘browser fingerprinting’. Hoe werkt het en wat kun je ertegen doen?
peter kulche

Peter Kulche   Expert ElektronicaBijgewerkt op:1 september 2022

figerprinting door websites 2

Wat is fingerprinting?

Fingerprinting is een techniek die gebruikmaakt van een simpel gegeven. Computers verschillen altijd van elkaar. Denk aan verschillen in besturingssysteem, browserversie, schermresolutie en nog veel meer gegevens.

Die combinatie van apparaatgegevens levert een unieke vingerafdruk op waar een bezoeker aan te herkennen is. Die vingerafdruk wordt gebruikt om fraude of misbruik van de website te voorkomen. Maar ook om gericht te adverteren. 

34% van de sites past techniek toe

In januari 2022 deden we een steekproef met 100 populaire websites. We zien dat 34% daarvan een ‘vingerafdruk’ maakt van de browser van de bezoeker. Dat is veel meer dan de 12% in onze steekproef in 2018. Wij gebruikten de Chrome-extensie ‘CanvasFingerprintBlock’ als verklikker (inmiddels niet meer beschikbaar in de Chrome Web Store).

De meeste websites hebben de vingerafdruk al genomen voordat je er via het ‘cookie-OK’-menu mee hebt kunnen in stemmen. En ze doen het ook als je surft in de ‘privacy-modus’ van je browser. 

Fingerprinting is een behoorlijk privacyschendende techniek. Het levert ongevraagd een ‘kenteken’ op dat kan worden gebruikt om je internetgedrag te volgen.

Hello fresh

Wat is het doel van fingerprinting?

We hebben alle 34 fingerprintende sites aangeschreven. Slechts 17 reageerden. Ze melden dat ze de techniek gebruiken voor fraudebestrijding: ze koppelen de kenmerken van je computersysteem aan je gebruikersaccount. Zodat je account niet (zomaar) vanaf een vreemde computer kan worden gebruikt.

Sommige sites melden dat ze fingerprinting gebruiken om het grootschalig kopiëren van de site tegen te gaan. Of om een denial of service-aanval te herkennen en af te weren.

Geen reactie

Van de helft van de sites krijgen we geen reactie. Terwijl we weten dat fingerprinting ook gebruikt kan worden voor het volgen van gebruikers voor persoonlijke reclame.

Opvallend

Opvallend is dat de site van de privacyvriendelijke berichten-app Signal een vingerafdruk van de browser maakt. Zonder enige toelichting. En zonder instemming.

We hebben geen reactie van Signal gekregen op ons verzoek om een toelichting. De vingerafdruk wordt alleen gemaakt op de donatiepagina. De fingerprinting heeft dus waarschijnlijk te maken met de beveiliging van deze financiële transactie. Maar dat weten we niet zeker.

Mag dit eigenlijk wel? 

Volgens de Telecom- en privacywet (AVG) mag een website in beginsel alleen fingerprinten als de consument ermee instemt. Alleen ing.nl, nu.nl en telegraaf.nl wachten met hun vingerafdruk totdat je akkoord geeft voor de cookies en andere technieken voor tracking. De anderen doen het zonder enige vorm van instemming.

Geen veiligheidsargument

ABN AmroMogelijk hebben de banken een speciale status waardoor ze het zonder toestemming mogen. Ze zijn volgens antifraudewetgeving namelijk verplicht om hun site extra goed te beveiligen. Maar bij abnamro.nl, ing.nl en rabobank.nl zien wij de fingerprinting ook op de homepage. Niet alleen bij het inloggen. Daar is geen veiligheidsargument voor.

Een flink deel van de fingerprintende websites is dus mogelijk in overtreding: ze gebruiken de techniek zonder een goede juridische ‘grondslag’. We hebben onze bevindingen met de Autoriteit Persoonsgegevens gedeeld. Die kan eventueel een onderzoek instellen.

Wat kun je er tegen doen?

Gelukkig heel wat, met de juiste software:

  • Browser Mozilla Firefox (voor de pc, Mac en je telefoon of tablet) heeft ingebouwde bescherming tegen fingerprinting. 
  • Ook Apple-browser Safari (op iPhone, iPad, Mac) beschermt je er in principe tegen.
  • Google Chrome beschermt je niet. Maar je kunt wel de extensie Canvas Fingerprint Defender installeren om bescherming toe te voegen.

Fingerprinter varianten

Bij passieve fingerprinting gebruikt de website de eigenschappen die je browser automatisch doorgeeft als je de website bezoekt. Bijvoorbeeld de schermresolutie, versie van de browser en het besturingssysteem. Deze fingerprinting is lastig te detecteren. Maar browsers Firefox en Safari beschermen je er wel tegen, doordat ze weinig informatie delen met de site.

Actieve fingerprinting is makkelijker waar te nemen. De website unieke kenmerken uit de browser probeert te halen. Onze steekproef wijst uit dat canvas fingerprinting een populaire vorm is. De site draait een scriptje dat je browser de opdracht geeft om een onzichtbare tekening maken. Omdat iedere browser die tekening op een net iets andere manier maakt, ben je hier vaak aan te herkennen. In onze steekproef met de 100 websites checkten wij of de canvas fingerprinting techniek werd toegepast.

Blijf op de hoogte

Ontvang nieuws, acties en tips in je mailbox. Zo bespaar je geld, voorkom je een miskoop en weet je wat je rechten zijn. Al 500.000 lezers gingen je voor.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren.

Nieuw & interessant

  • bol-com

    Webwinkels verplichten account onnodig

    Bij 20 van de 100 grootste webwinkels is een gebruikersaccount verplicht voor elke klant, terwijl we daar geen goede reden voor zien. Het gaat om de grootste webshops. De accountdwang is irritant en niet zonder gevaar.
  • Vervelende cookiemeldingen

    Cookies weigeren vaak te lastig

    Tracking-cookies en trackingtechnieken weigeren zou niet moeilijker mogen zijn dan de cookies accepteren. Maar hoe zit dat in de praktijk? We onderzochten ruim 100 websites.
  • Chrome’s advertentieprivacy mobiel

    Let op bij ‘advertentieprivacy’ in Chrome

    In Google Chrome krijg je de vraag of je de functie ‘advertentieprivacy’ wilt inschakelen. We zijn nog niet enthousiast. ‘Nee’ is op dit moment beter voor je privacy dan ‘Ja’.
  • online platforms veiliger maken

    Nieuwe regels moeten online platforms veiliger maken

    Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA).